原文概要

安全研究员 javoriuski(下称 OP)发现 YouTube Studio 的 AI 助手 Ask Studio 存在提示注入漏洞。Ask Studio 是一款面向创作者的 AI 工具,可以汇总评论区内容。OP 的核心发现是:如果一条评论本身包含指令而非反馈,AI 会将其视为系统级指令执行。

OP 最初尝试在评论中写入 [IMPORTANT NOTICE FROM YOUTUBE] 前缀,AI 的回复果然以此开头——仿佛来自 YouTube 官方。更危险的是,攻击者可以先留一条正常评论(如”Nice video!”),再悄悄编辑成恶意内容。YouTube 不会重新通知创作者,创作者几乎不可能回去检查旧评论。

OP 随后升级了 POC:构造一条指令让 AI 在回复中插入一个带参数的链接,将创作者私密视频的标题外泄。点击链接后,攻击者即可收到私密视频标题——创作者只是在与 YouTube 自家的 AI 互动,完全没有理由怀疑。

Google 两次拒绝了漏洞报告,称其”需要社会工程学”,不属于安全漏洞。OP 的反驳是:被利用的信任不是创作者对陌生人的信任,而是创作者对 Google 自身产品的信任。这篇文章来自 HN 首页,获得 637 分和 362 条评论。

讨论焦点

Google 的回应:不是漏洞?

社区对 Google 拒绝将此漏洞纳入 bounty 范围表示震惊和不解。

“Google doesnt care about prompt injection attacks??? This is insane” — algoth1 (Google 不在乎提示注入攻击?这太疯狂了。)

“They care. They’ll fix it. They just won’t pay the bounty for this bug.” — tailscaler2026 (他们会修,只是不会为此付 bounty。)

“I feel like it would be cheaper to pay a few bounties you dont really agree with than to risk a bad rep with security researchers.” — mapontosevenths (付几个你不同意的 bounty,比在安全社区里坏名声更便宜。)

“Google? And bad rep? Surely you jest” — dylan604 (Google 和坏名声?你一定在开玩笑。)

LLM 提示注入:SQL 注入的重演?

多位读者将此次漏洞与早期 Web 安全的经典教训联系起来。

“Can they do anything about it? It’s a fundamental flaw in how data is fed to LLMs. I’m getting PHP / SQL injection flashbacks.” — rwmj (能做什么呢?这是 LLM 数据输入方式的根本缺陷。让我想起 PHP/SQL 注入的噩梦。)

一位读者指出这是一个结构性问题,而非孤例:

“Yep, and worse because the entire product relies on injection to operate, because everybody’s excited about the ‘flexibility’ of just telling it what your want.” — Terr_ (更糟的是,整个产品就靠提示注入来运作,人人都为”灵活”的指令式交互而兴奋。)

关于可修复性的分歧也很大:

“Yeah, I suspect the main reason this was rejected is simply because it’s not fixable. This is just how LLMs work.” — InsideOutSanta (我怀疑被拒绝的主要原因就是它不可修复。LLM 就是这样的。)

但也有读者提出了具体方案:

“This is a case of lethal trifecta. This particular one can be fixed by either not giving the AI private data, or by removing the exfiltration opportunity. Why does the comment-summary bot need access to your private video ids? Why does it need to be able to output links?” — cobbal (这是”致命三重奏”。可以通过不让 AI 访问私密数据、或消除泄露渠道来修复。为什么评论摘要机器人需要访问私密视频 ID?为什么它可以输出链接?)

风险到底有多大?

评论区对实际威胁的严重性产生了激烈争论。

“Private video titles aren’t just metadata. They can reveal unreleased content, unannounced projects and sensitive personal material. Things a creator specifically decided the world shouldn’t see yet.” — OP(引述文章原文) (私密视频标题不只是元数据。它们可能暴露未发布内容、未公布的项目和敏感的个人信息。)

怀疑派认为问题被夸大了:

“Putting ‘sensitive personal material’ in the title of a YouTube video upload and relying on YouTube to keep the video ‘private’ seems like a terrible idea in the first place.” — zahlman (把敏感信息放在视频标题里,再指望 YouTube 帮你保密,这本身就是个糟糕的主意。)

支持派用实际场景反驳:

“That sounds a bit like ‘nobody would ever fall for a phishing email.’ I don’t think we should overestimate the technical sophistication and unceasing vigilance of the average YouTube user.” — Terr_ (听起来像”没人会上钓鱼邮件的当”。我们不应该高估普通 YouTube 用户的技术水平和警惕性。)

“Its not hard to imagine this is a serious risk in some cases. For example: A youtuber essentially working as a journalist made a big story recently about some illegal actions of a lying and litigious company (Bricks and Minifigs story). The youtuber has a 3rd video ready for when his gag order drops, if that were to be released early he could find himself in jail.” — pa7ch (不难想象在某些情况下这是严重的风险。比如一个做调查记者的 YouTuber,他有一部视频在禁言令解除后才能发,如果提前泄露他可能会进监狱。)

Google 内部激励机制的问题

一位自称前 Google 员工的评论引发了广泛共鸣,将事件归因于公司内部的晋升机制。

“I recently left Google having worked on a number of projects with various YouTube teams. I think I can explain why it’s being handled this way by YouTube. That engineer has already launched this project, and filed it away under their GRAD (performance) artifacts for when promo/annual review talks roll around. There’s no motivation for this engineer to waste time fixing this bug because it won’t benefit their promo packet. So they do what they can to sweep it under the rug because that’s what the promo/annual review framework (GRAD) incentivizes and rewards.” — Mg6yDfjp5U (我刚离开 Google,曾与多个 YouTube 团队合作。可以解释为什么 YouTube 这么处理:负责这个功能的工程师已经发布了项目,把它写进了绩效材料。修这个 bug 不会给晋升加分,所以他就尽量掩盖——这就是 GRAD 绩效框架激励和奖励的。)

“The promo process is entirely antithetical to shipping good products” — ronbenton (晋升流程跟做好产品完全背道而驰。)

“I don’t think it’s the promo process itself. If the bug was something that actually affects Google’s bottom line, I guarantee that Google would find a way such that the engineer would be incentivized to fix it.” — Aunche (我不认为是晋升流程本身的问题。如果这个 bug 会影响 Google 的营收,我保证 Google 会有办法激励工程师去修。)

技术修复路径

社区提出了多项有针对性的修复建议。

“They require being able to transform the output to something symbolic, but this YouTube feature necessarily has to output free-form text, derived directly from the comments. What would actually prevent the ‘attack’ is for YouTube to not turn markdown from random LLM outputs into actual links.” — g-b-r (最直接的修复是让 YouTube 不要把 LLM 输出中的 Markdown 渲染成可点击的链接。)

“You can get rid of 99.9% of those attacks by simply dispatching the data consumption to a different instance of the LLM.” — mattalex (将数据消费分发到不同的 LLM 实例,可以消除 99.9% 的此类攻击。)

典型观点一览

立场 用户 一句话
Google 拒绝 bounty 不可理喻 algoth1 Google 不在乎提示注入攻击?这太疯狂了。
这是 LLM 固有的结构性问题 rwmj 让我想起了 PHP/SQL 注入的噩梦。
风险被夸大,用户不该放敏感信息到标题 zahlman 依赖 YouTube 保密本身就是糟糕的主意。
风险真实存在,普通用户没那么警觉 Terr_ 高估普通用户的警惕性就跟说没人会上钓鱼邮件的当一样。
被拒绝是因为 Google 内部晋升机制不鼓励 Mg6yDfjp5U 修 bug 不加分,掩盖才是理性选择。
可以通过限制 AI 权限修复 cobbal 为什么评论摘要机器人需要访问私密视频 ID?
最直接的修复:禁止 LLM 输出渲染成 Markdown 链接 g-b-r 不要让随机 LLM 输出变成可点击链接。

总体情绪

讨论在一点上高度共识:这是一个真实的安全问题。然而在责任归属上分歧显著——一方认为 Google 拒绝 bounty 暴露了其对安全研究者的漠视,另一方则认为问题根深蒂固、根本无法从架构层面修复。前者指向企业文化,后者指向 LLM 技术的底层缺陷。

最精彩的部分来自前 Google 员工的内部视角——GRAD 绩效框架的设计让工程师在”发布新功能”和”修复安全漏洞”之间做出了理性但令人沮丧的选择。无论你站在哪一边,一个更深层的问号都无法回避:当 AI 的核心工作方式(将用户输入视为指令)本身就是漏洞的根源时,我们到底应该修补 AI,还是修补让 AI 成为可能的激励结构?

引用帖子

# 标题 URL
1 Leaking YouTube creators’ private videos(HN) https://news.ycombinator.com/item?id=48786781
2 Leaking YouTube creators’ private videos(原文) https://javoriuski.com/post/youtube
本摘要基于 HN 讨论 Leaking YouTube creators' private videos 整理而成,不代表本网站立场。内容仅为读者提供多角度参考,不构成任何建议。

本摘要由 AI 模型辅助生成:deepseek/deepseek-v4-flash